ケース
「ケース」ページでは、ソフォスの「検出」機能によって報告された疑わしいイベントをグループ化し、MDR チームがそれらを調査して対応を支援します。
ケースの仕組み
ケースを自動的に作成して管理することも、独自のケースを作成して管理することもできます。
ソフォスが管理するケース
ケースは、ソフォスによって自動的に作成されます。これらは調査が必要と思われる検出に焦点を置いて作成されます。
- 同日に作成されたケースに含まれていない高リスクの検出がある場合、ケースが作成されます。
- 検出タイプが同じである場合、後で発生した検出がケースに追加されます。
- MDR の検出に基づいてケースが発生した場合は、調査と対応を行います。これは「ソフォスによる管理」のケースです。
注
ケースが Sophos XDR 検出に基づいている場合、調査は行いません。詳細は、お客様が管理するケースを参照してください。
お客様が管理するケース
XDR 検出に基づいてケースを作成する場合、それは「自社による管理」のケースです。ケースを確認するときは、管理対象の詳細で「セルフ」(を探してください。調査と回答を行う管理者を割り当てる必要があります。詳細は、ケースの割り当てを参照してください。
独自のケースを手動で作成および管理することもできます。詳細は、ケースの作成を参照してください。
ケースの表示
ケースを表示するには、「脅威解析センター > ケース」を参照します。
注
このページをはじめて表示する際、リストが空の場合があります。後で再び参照して、自動作成されたケースが表示されていることを確認するか、新しいケースを作成してください。それでもケースが表示されない場合は、ケースのトラブルシューティングを参照してください。
ケースリストには、各ケースの以下の詳細が含まれています。
重要度
レベル | 色 | 説明 |
---|---|---|
緊急 | 赤 | システムへの不正アクセスまたは不正アクセスが確認されています。 |
高 | オレンジ | 侵害または不正アクセスを引き起こす可能性のある標的型攻撃を示す検出。 |
中 | 黄 | それ自体が悪意のあるものとは見なされず、標的型ではない可能性のある検出です。 |
低 | ダークグレー | セキュリティ状態の低下、悪意のあるアクティビティ、侵害または不正アクセスが確認されていない検出。 |
情報 | ライトグレー | 通常、初期の正常性チェックに使用される特別な重要度レベルです。 |
状態
ソフォスが管理するケースには、次のステータスが表示されます。
- 進行中: データを分析中です。
- 対応が必要: 操作が必要です。ソフォスはお客様の担当者に通知をしています。
- 解決済み: 脅威に対処しました。
管理対象
ケースの管理者を確認できます。
- ソフォス: MDR チームがケースを調査して対応します。変更はできませんが、ケースについて MDR チームに返信することはできます。:
- セルフ: ケースを調査して回答する必要があります。
ケースの詳細の表示
ケースの詳細を表示し、進行状況を確認するには、次の手順に従います。
-
「ケース」ページで、 ケースの横にある「ケース ID」をクリックします。
-
「ケースの詳細」ページのページヘッダーには、重大度、状態、所有者が表示されます。また、ケースの作成、割り当て、および最終更新日も表示されます。
このページには、詳細を表示するタブもあります。
「概要」タブ
デフォルトで「概要」タブが開きます。ケースに追加された検出件数、検出された MITRE 戦術、影響を受けたデバイスやユーザー、ケースサマリー、および最近のアクティビティの詳細が表示されます。
自己管理ケースの場合、このタブを使用して AI ツールを使用してケースを調査できます。詳細は、ケースの調査を参照してください。
MITRE 戦術
「MITREの戦術」には、検出された MITRE ATT&CK の戦術とテクニックが一覧表示されます。
戦術の横にある展開矢印をクリックすると、テクニックが表示されます。
下のスクリーンショットの「証情報アクセス」などのように、戦術やテクニックの横にあるリンクをクリックして、MITRE Web サイトの詳細に移動します。
ケースサマリー
MDR のお客様の場合は、MDR チームがケースの概要を入力します。お客様が XDR の顧客である場合、Sophos AI を使用してケースサマリーを生成するか、独自のサマリーを入力することができます。
コマンドライン
ケースを生成した脅威によって実行されたコマンドライン。XDR のお客様であれば、Sophos AI を使用してコマンドラインを分析し、その意図や可能な影響を発見することができます。
最近のアクティビティ
「最近のアクティビティ」には、ケースに対する最近の変更が表示されます。「すべて表示」をクリックして「履歴」タブに移動します。
「検出」タブ
「検出」タブには、ケースに含まれるすべての検出が一覧表示されます。「検出」ページのリストと同じ詳細が表示されます。詳細は、検出を参照してください。
「ノート」タブ
自己管理ケースで作業している場合は、「ノートブック」タブを使用して調査の記録を保存します。
「メッセージ」タブ
「メッセージ」タブページでは、ケースに関する Sophos MDR チームからのメッセージを表示することもできます。
- 送信したメッセージは、MDR の受信トレイに送信されます。ソフォスは後ほど対応します。
- 送受信したメッセージは、承認済み担当者のメールボックスにコピーされるため、見逃すことはありません。
- メッセージのほか、添付ファイルも送受信できます。
「履歴」タブ
「履歴」タブには、そのケースのすべてのアクティビティの履歴が表示されます。たとえば、検出が追加されたり、ステータス、所有者などの変更が行われたりします。
ケースのトラブルシューティング
ケースは、デバイスが Sophos Data Lake にアップロードするデータで検出された検出に基づいています。これらのアップロードは通常デフォルトでオンになっています。検出されない場合は、オンになっていることを確認してください。
ソフォス製品からアップロードされたデータを確認するには、Data Lake へのアップロードを参照してください。サードパーティ製品からのアップロードについては、 MDR と XDR の統合についてを参照してください。